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PROCEDE DE CONTRE-MESURE UN COMPOSANT 

ELECTRONIQUE METTANT EN OEUVRE UN ALGORITHME DE 
CRYPTOGRAPHIE A CLE SECRETE 

La presente invention concerne un precede de 
contre-mesure dans un composant electronique mettant en 
oeuvre un algorithme de cryptographie a cle secrete- 
lis sont utilises dans des applications oii 1 'acces a 
des services ou a des donnees est severement controle. 
lis ont une architecture formee autour d'un 
microprocesseur et de memoires, dont une meinoire 
programme qui contient la cle secrete. 

Ces composants sont notamment utilises dans les 
cartes a puce, pour certaines applications de celles- 
ci. Ce sont par exemple des applications d 'acces a 
certaines banques de donnees, des applications 
bancaires, des applications de telepeage, par exemple 
pour la television, la distribution d' essence ou encore 
le passage de peages d * autoroutes . 

Ces composants ou ces cartes mettent done en oeuvre 
un algorithme de cryptographie a cle secrete, dont le 
plus connu est 1 • algorithme DES (pour Data Encryption 
Standard dans la litterature anglo-saxonne) . D'autres 
algorithmes a cle secrete existent, comme 1 'algorithme 
RC5 ou encore 1» algorithme COMP128. Cette liste n'est 
bien sur pas exhaustive. 

De maniere generale et succincte, ces algorithmes 
ont pour fonction de calculer un message chiffre a 
partir d ' un message applique en entree (a la carte) par 
^cm systfeiiie — hote — (ncrvcur , — diotributour — ^^^n'^^ i ) et 

de la cle secrete contenue dans la carte, et de fournir 
en retour au systeme hote ce message chiffre, ce qui 
permet par exemple au systeme hote d ' authentif ier le 
composant ou la carte, d ' echanger des donnees. . . 

Or il est apparu que ces composants ou ces cartes 
sont vulnerables a des attaques cons is tan t en une 
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analyse dif f erentielle de consommation en courant. et 
qui permettent a des tiers mal intentionnes de trouver 
la cle secrete. Ces attaques sont appelees attaques 
DPA, acronyme anglo-saxon pour Differential Power 
5 Analysis. 

Le principe de ces attaques DPA repose sur le fait 
que la consommation en courant du microprocesseur 
executant des instructions varie selon la donnee 
xnanipulee. 

10 Notamment, une instruction du microprocesseur 

manipulant un bit de donnee genere deux profils de 
courant differents selon que ce bit vaut "1" ou "0". 
Typiquement, si 1 • instruct ion manipule un "0", on a a 
cet instant d* execution une premiere amplitude du 

15 courant consomme et si 1 ' instruction manipule un "1", 
on a une deuxieme amplitude du courant consomme, 
differente de la premiere. 

Les caracteristiques des algorithmes de 
cryptographie sont connues : calculs effectues, 

20 parametres utilises. La seule inconnue est la cle 
secrete contenue en memoire programme. Celle-ci ne peut 
etre deduite de la seule connaissance du message 
applique en entree et du message chiffre fourni en 
retour . 

25 Cependant, dans un algorithme de cryptographie, 

certaines donnees calculees dependent seulement du 
message applique en clair en entree de la carte et de 
la cle secrete contenue dans la carte. D'autres donnees 
calculees dans 1 'algorithme peuvent aussi etre 

30 re'^a 1 '^"l e:^nl <3Tnp>nt a partir du message chiffre 

(generalement fourni en clair en sortie de la carte 
vers le systeme hote) et de la cle secrete contenue 
dans la carte. Plus precisement, chaque bit de ces 
donnees particulieres peut etre determine a partir du 

35 message d* entree ou de sortie, et d'un nombre limite de 
bits particuliers de la cle. 
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Ainsi, a chaque bit d'une donnee particuliere, 
correspond une sous-cle f ormee par un groupe 
particulier de bits de la cle. 

Les bits de ces donnees particulieres qui peuvent 
etre predites sent appeles dans la suite, bits cibles. 

L'idee de base de I'attaque DPA est ainsi 
d'utiliser la difference du profil de consommation en 
courant d'une instruction selon qu'elle manipule un "1" 
ou un "0" et la possibilite de calculer un bit cible 
par les instructions de 1 • algorithme a partir d'un 
message connu d' entree ou de sortie et d • une hypothese 
sur la sous-cle correspondante • - 

Le principe de I'attaque DPA est done de tester une 
hypothese de sous-cle donnee, en appliquant sur un 
grand nombre de courbes de mesure en courant, chacune 
relative a un message d'entree connu de I'attaquant, 
une fonction booleenne de selection, fonction de 
I'hypothdse de sous-cle, et definie pour chaque courbe 
par la valeur predite pour un bit cible. 

En faisant une hypothese sur la sous-cle concernee, 
on est en effet capable de predire la valeur "0" ou "l" 
que va prendre ce bit cible pour un message d'entree ou 
de sortie donne. 

On peut alors appliquer comme fonction booleenne de 
selection, la valeur predite "0" ou "l" par le bit 
cible pour 1' hypothese de sous-cle consideree, pour 
trier ces courbes en deux paquets : un premier paquet 
regroupe les courbes qui ont vu la manipulation du bit 
cible a "0" et un deuxieme paquet regroupe les courbes 
-q*" — cm± — iaj — la — manipul ati on du bit cible a "1" selon 
1 'hypothese de sous-cle. En faisant la moyenne de 
consommation en courant dans chaque paquet, on obtient 
une courbe de consommation moyenne MO(t) pour le 
premier paquet et une courbe de consommation moyenne 
Ml(t) pour le deuxieme paquet. 
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Si I'hypothese de sous-cle est juste, le premier 
paquet regroupe reellement toutes les courbes parmi les 
N courbes qui ont vu la manipulation du bit cible a "0" 
et le deuxieme paquet regroupe reellement toutes les 

5 courbes parmi les N courbes qui ont vu la manipulation 
du bit cible a "1". La courbe moyenne de consommation 
MO(t) du premier paquet aura alors une consommation 
moyenne partout sauf aux moments de 1' execution des 
instructions critiques, avec. un profil de consommation 

10 en courant caracter istique de la manipulation du bit 
cible a "0" (prof ilg) • En d'autres termes, pour toutes 
ces courbes tous les bits manipules ont eu autant de 
chances de valoir "0" que de valoir "1", sauf le bit 
cible qui a toujours eu la valeur "0". Ce qui peut 

15 s'ecrire : 

MO(t)=[ (prof ilo+prof ill) /2]t;ttci [P^o^iloltci soit 
MO{t)=[Vmt]t;ttci [P^ofi^oltci 

oCl tci represente les instants critiques, auxquels une 
instruction critique a ete executee. 

20 De meme, la courbe moyenne de consommation Ml(t) du 

deuxieme paquet correspond a une consommation moyenne 
partout sauf aux moments de 1' execution des 
instructions critiques, avec un profil de consommation 
en courant caracter istique de la manipulation du bit 

25 cible a "1" (prof il^) . On peut ecrire : 

Mi(t) = [ (prof ilo+prof ill) /2]t^tci + [Pi^o^ i^ll tci ^oit 

Ml(t) = [Vmt]t7^tci + [pr-of iliJtci 

On a vu que les deux profils profile et profili ne 
sont pas egaux. La difference des courbes MO(t) et 

--eo Ml(t) donne alors un signpil nPA(t) dont 1' amplitude est 

egale a prof ilQ-pr-of i^l aux instants critiques tci 
d' execution des instructions critiques manipulant ce 
bit, c'est a dire, dans I'exemple represente sur la 
figure 1, aux endroits tcO a tc6 et dont 1' amplitude 
35 est a peu pres egale a zero en dehors des instants 
critiques . 



si I'hypothese de sous-cle est fausse, le tri ne 
correspond pas a la realite. Statist iquement^ il y a 
alors dans chaque paquet, autant de courbes ayant vu 
reellement la manipulation du bit cible a "0" que de 
5 courbes ayant vu la manipulation du bit cible a "1". La 
courbe moyenne resultante lyiO(t) se situe alors autour 
d'une valeur moyenne donnee par (prof ilQ+pi^of ill) /2=Vm, 
car pour chacune des courbes, tous les bits manipules, 
y compris le bit cible ont autant de chances de valoir 
10 "O" que de valoir "1". 

Le meme raisonnement sur le deuxieme paquet conduit 
a une courbe moyenne de consommation en courant Ml(t) 
dont !• amplitude se situe autour d'une valeur moyenne 
donnee par (prof ilo+prof il^) /2=Vmo 

Le signal DPA(t) fourni par la difference MO(t)- 
Ml(t) est dans ce cas sensiblement egal a zero- Le 
signal DPA(t) dans le cas d'une hypothese de sous-cl6 
fausse est represents sur la figure 2. 

Ainsi I'attaque DPA exploite la difference du 
profil de consommation en courant pendant 1' execution 
d'une instruction suivant la valeur du bit manipule, 
pour effectuer un tri de courbes de consommation en 
courant selon une fonction de selection booleenne pour 
une hypothese de sous-cle donnee- En effectuant une 
analyse dif f erent ielle de la consommation moyenne en 
courant entre les deux paquets de courbes obtenus, on 
obtient un signal d ' information DPA(t) . 

Le deroulement d'une attaque DPA consiste alors 
globalement : 

a» a tirer U messagps — pilRatoires — Cear — Qxemple — N. 
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egal 1000) ; 

b- a faire executer I'algorithme par la carte pour 
chacun des N messages aleatoires, en relevant la courbe 
de consommation en courant a chaque fois (mesuree sur 
35 la borne d ' alimentation du composant) ; 

c- a faire une hypothese sur une sous-cle; 



d- a predire, pour chacun des messages aleatoires, 
la valeur prise par un des bits cibles dont la valeur 
ne depend que des bits du message (d 'entree ou de 
sortie) et de la sous-cle prise en hypothese, pour 
5 obtenir la fonction de selection booleenne; 

e- a trier les courbes selon cette fonction de 
selection booleenne (c'est a dire selon la valeur "O" 
ou "1" predite pour ce bit cible pour chaque courbe 
sous I'hypothese de sous-cle); 
10 f- a calculer dans chaque paquet la courbe 

resultante de consommation moyenne en courant; 

g- a effectuer la difference de ces courbes 
ntoyennes, pour obtenir le signal DPA(t) - 

Si I'hypothese sur la sous-cle est juste, la 
15 fonction de selection booleenne est juste et les 
courbes du premier paquet correspondent reellement aux 
courbes pour lesquelles le message applique en entree 
ou en sortie a donne un bit cible a "0" dans la carte 
et les courbes du deuxieme paquet correspondent 
20 reellement aux courbes pour lesquelles le message 
applique en entree ou en sortie a donne un bit cible a 
"1" dans la carte. 

On est dans le cas de la figure 1 : le signal 
DPA(t) n'est done pas nul aux instants tcO a tc6 
25 correspondant a 1' execution des instructions critiques 
(celles qui manipulent le bit cible) . 

On notera que I'attaquant n'a pas. besoin de 
connaitre avec precision les instants critiques. II 
suffit qu'il y ait au moins un instant critique dans la 

p^T-i ode d ' acquisition . 

Si I'hypothese de sous-cle n'est pas juste, le tri 
ne correspond pas a la realite et on a alors dans 
chaque paquet autant de courbes correspondant en 
realite a un bit cible a "0" que de courbes 
35 correspondant a un bit cible a "1". Le signal DPA(t) 
est sensiblement nul partout (cas represents a la 
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figure 2). II faut retourner a I'etape c- et faire une 
nouvelle hypothese sur la sous-cle. 

Si 1' hypothese s ' avere juste, on peut passer a 
1' evaluation d'autres sous-cles, jusqu'a avoir 
5 reconstitue la cle au maximum. Par example , avec un 
algorithme DES, on utilise une cle de 64 bits, dont 
seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles. 

10 La presente invention a pour but de mettre en 

oeuvre dans un composant electronique , un precede de 
contre-mesure qui entraine un signal DPA(t) nul, meme 
dans le cas ou I'hypothese de sous-cle est juste. 

De cette fagon, rien ne permet de distinguer le cas 

15 de 1' hypothese de sous-cle juste des cas d' hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
composant electronique est pare contre les attaques 
DPA. 

On sait par la demande frangaise FR 98 13605 
20 deposee le 29 octobre 1998, pair la societe GEMPLUS et 
dont le contenu en entier fait partie integrante de la 
presente demande, qu"il ne suffit pas de faire en sorte 
que le signal DPA(t) soit nul relativement a un bit 
cible donne. 

25 En effet, si on considere la valeur prise par 

plusieurs bits cibles d ' une meme donnee manipulee par 
les instructions critiques, on va devoir, trier les 
courbes non plus en deux paquets, mais en plusieurs 
paquets. On n'a plus une fonction de selection binaire. 

_3D On pp>ui- mnntrer qu ' en reqroupant ensuite ces paquets 

d'une maniere ou d ' une autre, on peut obtenir un signal 
DPA(t) non nul dans le cas d ' une hypothese de sous-cle 
juste, alors qu'il aurait ete nul si 1 ' on avait trie 
selon une fonction de selection binaire sur un seul bit 

35 cible. 



Prenons par exerople deux bits cibles d'une meme 
donn§e. Ces deux bits cibles peuvent prendre les 2^ 
valeurs suivantes : "00", "01", "10" et "11". 

En appliquant la fonction de selection aux N=1000 

5 courbes de consommation en courant mesurees, on obtient 
quatre paquets de courbes. Si le tri est juste, un 
premier paquet de 250 courbes environ correspond a la 
valeur "00", un deuxieme paquet de 250 courbes environ 
correspond a la valeur "01", un troisieme paquet de 

10 250 courbes environ correspond a la valeur "10" et un 
quatrieme paquet de 250 courbes environ correspond a la 
valeur "11". 

Si on regroupe les premier et quatrieme paquets 
dans un premier groupe et les deuxieme et troisieme 
15 paquets dans un deuxieme groupe, on obtient deux 
groupes qui ne sont pas equivalents. 

Dans le premier groupe, les deux bits ont autant de 
chances de valoir "00" que de valoir "11". La valeur 
moyenne aux instants critiques de toutes les courbes de 
20 consommation de ce groupe peut s'ecrire : 

Ml (tci)=[consommation("00") + consommation ("ll")]/2 

Dans le deuxieme groupe, les deux bits ont autant 
de chances de valoir "01" que de valoir "10". La valeur 
moyenne aux instants critiques de toutes les courbes de 
25 consommation de ce groupe peut s'ecrire : 

M2 (tci)=[consommation("01") + consommation ("10")]/2 

Si on fait la difference entre ces deux moyennes, 
on obtient un signal DPA(t) non nul. En d ' autres 
termes, les deux groupes dont on compare les 
r^r.T.^mTiTiiations movennes n'ont pas un contenu equivalent 



Dans la demande fran9aise precitee, on a cherche a 
empecher I'obtention d'un quelconque signal 
significatif au sens de 1 • attaque DPA. Quel que soit le 
nombre de bits cibles pris, quelle que soit la 
35 combinaison de paquets effectuee pour faire la 
comparaison des consommations moyennes, le signal 



DPA(t) sera tou jours nul. Pour cela il faut obtenir des 
paquets equivalents, quel que soit le nombre de bits 
cibles consider es , 

La demande frangaise precitee propose comme 
solution a ces differents problemes techniques, 
1 • utilisation d'une valeur aleatoire dans une operation 
de OU EXCLUSIF avec au mo ins des donnees de sortie de 
moyens de calcul utilises dans 1 ' algorithme . 

Avec 1 'utilisation d'une telle valeur aleatoire, 
les donnees manipulees par les instructions critiques 
deviennent iinpredict ibles tout en ayant un resultat 
juste en sortie de 1 ' algor ithme . - 

Dans 1' invention, on s * est cependant rendu compte 
que des attaques pourraient encore etre realisees avec 
succes a des endroits bien determines dans 1' execution 
de 1 ' algorithme, notamment en entree et en sortie de 
1 ' algorithme. 

La presente invention a pour objet un precede de 
contre-mesure dans lequel ces attaques sont egalement 
r endues impossibles . Selon 1 ' invention , on utilise une 
deuxieme valeur aleatoire, appliquee sur les parametres 
d' entree de 1 'algorithme de cryptographie , dans une 
operation de ou EXCLUSIF. Cette deuxieme valeur 
aleatoire se propage dans tout 1 ' algorithme, en sorte 
que les donnees qui n ' etaient pas protegees par la 
premiere valeur aleatoire le sont par la deuxieme . 

Ainsi, selon 1' invention, selon I'endroit ou 1 ' on 
se trouve dans 1 • algorithme , les donnees sont protegees 
soit par la premiere valeur-aleatoire , soit par la 

30 deuxieme, soit par une combinaison de ces deux va leur- 

aleatoires. 

Telle que caracter isee , 1' invention concerne done 
un procede de contre-mesure dans un composant 

electronique mettant en oeuvre un algprithme 

cryptographique a cle secrete, selon la revendication 




D'autres caracter istiques et avantages de 
1» invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes, dans lesquels : 
5 - les figures 1 et 2 deja decrites representent le 

signal DPA(t) que 1 ' on peut obtenir en fonction d'une 
hypothese sur une sous-cle de la cle secrete K, selon 
una attaque DPA; 

- les figures 3 et 4 sont des organ igrammes 
10 detailles des premiers et derniers tours de 

1 •algorithme DES, selon I'etat de la technique; 

- la figure 5 est un schema-bloc de 1 'operation 
SBOX utilisee dans I'algorithme DES tel que presente 
sur les figures 3 et 4 ; 

15 - la figure 6 montre un exemple de table de 

constantes elementaire a une entree et une sortie 
utilisee dans 1 'operation SBOX representee sur la 
figure 5; 

- les figures 7 et 8 representent respectivement un 
20 organigramme d' execution du DES et un organigramme 

detaille des premiers tours, correspondant a un exemple 
d' application du precede de centre mesure selon 1 ' etat 
de la technique ; 

- la figure 9 represente un organigramme 
25 d» execution du DES selon 1* invention; et 

- la figure 10 represente un schema-bloc simplifie 
d^une carte a puce comportant un composant electronique 
dans lequel le precede de contre-mesure selon 
1' invention est mis en oeuvre. 

30 Pour la bonne comprehension de 1' invention, on va 

d^abord decrire I'algorithme cryptographique a cle 
secrete DES normal, sans precede de contre-mesure. Get 
algorithme DES comporte 16 tours de calcul, notes Tl a 
T16, comme represente sur les figures 3 et 4 . 

35 Le DES debute par une permutation initiale IP sur 

le message d • entree M (figure 3). Le message d'entree M 
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* est un mot f de 64 bits. Apres permutation, on obtient 
un mot e de 64 bits, que 1 ' on coupe en deux pour former 
les parametres d'entree LO et RO du premier tour (Tl) . 
LO est un mot d de 3 2 bits contenant les 3 2 bits de 

5 poids forts du mot e. RO est un mot h de 32 bits 
contenant les 32 bits de poids faibles du mot e. 

La cle secrete K, qui est un mot q de 64 bits subit 
elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits. 

10 Le premier tour comprend une operation EXP PERM sur 

le parametre RO , consistant en une expansion et une 
permutation, pour fournir en sortie un mot 1 de 48 
bits. 

Ce mot 1 est combine a un parametre Kl, dans une 

15 operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 4 8 bits, Le parametre Kl qui est un mot m 
de 48 bits est obtenu du mot r par un decalage d ' une 
position (operation notee SHIFT sur les figures 3 et 4) 
suivi d'une permutation et d'une compression (operation 

20 notee COMP PERM) . 

Le mot b est applique a une operation notee SBOX, 
en sortie de laquelle on obtient un mot a de 3 2 bits, 
Cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6. 

25 Le mot a subit une permutation P PERM, donnant en 

sortie le mot c de 32 bits. 

Ce mot c est combine au parametre d'entree LO du 
premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 

30 32 bits. 

Le mot h (=R0) du premier tour fournit le parametre 
d'entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d'entree Rl du tour suivant. 
Le mot p du premier tour fournit 1 ' entree r du tour 

35 suivant. 




Les autres tours T2 a T16 se deroulent de fa<?on 
similaire, excepte en ce qui concerne 1' operation de 
decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres, 
5 Chaque tour Ti regoit ainsi en entree les 

parametres Li-1, Ri-1 et r et fournit en sortie les 
parainetres Li et Ri et r pour le tour suivant Ti+1- 

En fin d ' algor ithme DES (figure 4), le message 
chiffre est calcule a partir. des parametres L16 et R16 
10 fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots L16 et R16, puis en les concatenant; 
15 - application de la permutation IP"^ inverse de 

celle de debut de DES, pour obtenir le mot f de 64 
bits formant le message chiffre C. 

L» operation SBOX est detaillee sur les figures 5 et 
6, Elle comprend une table de constantes TCq pour 
20 fournir une donnee de sortie a en fonction d'une donnee 
d* entree b. 

En pratique, cette table de constantes TCq se 
presente sous la forme de huit tables de constantes 
elementaires TCqI a TCqB , chacune recevant en entree 
25 seulement 6 bits du mot b, pour fournir en sortie 
seulemen't 4 bits du mot a. 

Ainsi, la table de constante elementaire TCqI 
representee sur la figure 6 revolt comme donnee 
d« entree, les bits bl a b6 du mot b et fournit comme 
donnee do oorti e l e s bits a l a a4 dn mnt a , 

En pratique ces huit tables de constantes 
elementaires TCqI a TCqS sont memorisees en memoire 
programme du composant electronique . 

Dans 1' operation SBOX du premier tour TI, un bit 
35 particulier de la donnee a de sortie de la table de 
constante TCq depend de seulement 6 bits de la donnee b 
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appliques en entree, c • est a dire de seulement 6 bits 
de la cle secrete K et du message d ' entree (M) . 

Dans 1 'operation SBOX du dernier tour T16, un bit 
particulier de la donnee a de sortie de la table de 
constante TCq peut etre recalcule a partir de seulement 
6 bits de la cle secrete K et du message chif fre (C) . 

Or si on reprend le principe de 1 ' attaque DPA, si 
on choisit un ou des bits de la donnee de sortie a 
comme bits cibles, il suff it de faire une hypothese sur 
6 bits de la cle K, pour predire la valeur du ou des 
bits cibles pour un message d' entree (M) ou de sortie 
(C) donne. En d ' autres termes, pour le DES, il suff it 
de faire une hypothese sur une sous-cle de 6 bits. 

Dans une attaque DPA sur un tel algorithme pour un 
ensemble de bits cibles donne issu d'une table de 
constantes elementaire donnee, on a done a discriminer 
une hypothese de sous-cle juste parmi 64 possibles. 

Ainsi, a partir des bits de sortie des huit tables 
de constantes elementaires TCqI a TCq8, on peut 
decouvrir jusqu'a 8x6=48 bits de la cle secrete, en 
f aisant des attaques DPA sur des bits cibles 
correspondants . 

Dans le DES, on trouve done des instructions 
critiques au sens des attaques DPA au debut de 
1' algorithme et a la fin. Ces instructions sont 
detainees dans la demande frangaise FR 98 13605 a 
laquelle on pourra se reporter utilement. 

Et il ressort que toutes les donnees manipulees par 
des instructions critiques sont une donnee de sortie ou 

— donncGs — dorivcGQ — d 'uno — donnoQ d« gr^T^^^j^ r^i^^ pg. 

operation SBOX de debut et de fin de DES. 

Le precede de contre-mesure decrit dans la demande 
frangaise precitee applique a cet algorithme DES 
consiste a rendre impredictible chacune des donnees 
manipulees par les instructions critiques. Ainsi, quel 
que soit le ou les bits cibles utilises, le signal 




• 
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' DPA(t) sera tou jours nul. Ce precede de contre-mesure 
est applique aux instructions critiques de debut de DES 
et aux instructions critiques de fin de DES, 

En prenant les operations SBOX comme premiers 

5 moyens de calcul pour fournir une donnee de sortie S=a 
a partir d'une donnee d • entree E=b, le precede de 
contre-mesure de la demande fran(?aise precitee applique 
a I'algorithme DES consiste a utiliser d'autres moyens 
de calcul a la place des premiers, pour rendre 

10 impredictible la donnee de sortie, en sorte que cette 
donnee de sortie et/ou des donnees derivees manipulees 
par les instructions critiques soient toutes 
impredictibles • 

Ces autres moyens peuvent comprendre differents 

15 moyens, lis sent calcules a partir des premiers moyens 
en appliquant un OU exclusif avec une valeur aleatoire 
u (ou une valeur aleatoire derivee) sur I'une et/ou sur 
1' autre des donnees d ' entree et de sortie des premiers 
moyens. 

20 L'utilisation de cette valeur aleatoire u est telle 

que le resultat en sortie de 1 » algorithme, c ' est a 

dire, le message chiffre C reste juste. 

Les figures 7 et 8 representent un exemple 

d' application de ce precede de contre-mesure, qui 
25 correspond a la figure 10 de la demande frangaise 

precitee . 

Dans une execution classique de 1 'algorithme DES, 
on a vu que chaque tour comprend 1 • utilisation de 
premiers moyens TCq dans une operation SBOX. 

-^e Dans cot oxompl e , et c o mme reprpsente sur l a f i gure 

7, on calcule d'autres moyens en faisant un OU EXCLUSIF 
avec une valeur aleatoire u sur les donnees de sortie 
des premiers moyens TCq et en faisant un OU EXCLUSIF 
avec une valeur derivee e(p(u)) sur les donnees 
35 d' entree des premiers moyens TCq- Puis on applique une 



rr- 



15 



sequence SEQA d' execution identique sur chaque groupe, 
qui consiste a utiliser ces autres moyens calcules. 

Dans ce precede, on utilise done une valeur 
aleatoire u qui est une donnee de 3 2 bits. On peut par 
5 exemple tirer une valeur aleatoire de 32 bits, ou bien 
tirer une valeur aleatoire de 4 bits et les recopier 8 
fois pour obtenir la valeur aleatoire sur 32 bits. 

On calcule alors la variable derivee egale a 
e(P(u))/ oa p(u) correspond au resultat de 1' operation 
10 P PERM appliquee sur la valeur u et ou e(p(u)) est le 
resultat de 1 'operation EXP PERM appliquee a la valeur 
p(u). 

On peut alors calculer les autres moyens utilises 
par ce precede de contre-mesure, 
15 Dans 1" exemple represente en reference a la figure 

7, ces autres moyens comprennent des deuxiemes moyens 
TC2 et une operation ou EXCLUSIF supplementaire notee 
CP, 

Les deuxiemes moyens TC2 sont utilises dans chacun 
20 des tours. 

lis sont calcules en appliquant un OU EXCLUSIF avec 
la variable aleatoire derivee e(p(u)) sur la donnee 
d' entree E et en appliquant un OU EXCLUSIF avec la 
valeur aleatoire u sur la donnee de sortie S des 
25 premiers moyens TCq , ce qui peut s ' ecrire : 
TC2=(Eee(p(u) ) , S©u) , 

L' operation OU EXCLUSIF supplementaire . CP avec la 
variable aleatoire derivee e(p(u)), permet d ' obtenir en 
entree des deuxiemes moyens TC2 la donnee b©e(p(u)). 

^0 r<a1-t Q np^-rat-ion ^di- nntj-^o TP ( p:> ( p ( n ) ) ) sur lea figures 7 

et 8 . 

Cette operation OU EXCLUSIF supplementaire CP avec 
la variable e(p(u)) peut etre placee en divers endroits 
des premiers et derniers tours, soit entre 1' operation 
35 EXP PERM et 1» operation XOR ou entre 1' operation XOR et 
I 'operation SBOX. On peut la remplacer par une 




* operation OU EXCLUSIF supplementaire CP avec la 
variable aleatoire derivee p(u), en plagant cette 
operation supplementaire CP(p(u)) avant 1 ' operation EXP 
PERM- On obtient en sortie l®e (p (u) ) , et done on aura 
5 ensuite b©e(p(u)). 

Dans tous ces cas de figures, on obtient la donnee 
b©e(p(u)) en entree de 1' operation SBOX. 

Le programme de calcul consiste alors au debut de 
1« execution de 1 • algor ithme, a tirer une valeur 
10 aleatoire u, dans I'exemple sur 4 bits, a calculer la 
variable aleatoire derivee e(p(u)), puis a calculer les 
differents moyens utilises dans la sequence d' execution 
SEQA, c'est a dire calculer les deuxiemes moyens TC2 . 

On obtient, a la sortie de chaque groupe, le 
15 resultat juste pour les parametres de sortie. Ainsi, 
les parametres de sortie L4 et R4 du premier groupe Gl, 
L8 et R8 du deuxieme groupe G2 , L12 et R12 du troisieme 
groupe 03, L16 et R16 du quatrieme groupe G4 sont 
justes quelle que soit la variable aleatoire tiree. 
20 Quand on a effectue tous les tours, on obtient les 

parametres justes L16 et R16 qui vont permettre de 
calculer le message chiffre C juste. 

Par centre, a 1' inter ieur des groupes, certains 
resultats intermediaires n'ont pas les memes valeurs 
25 selon la sequence utilisee, mais des valeurs 
correspondant a 1» operation OU EXCLUSIF avec la valeur 
aleatoire u ou avec la valeur aleatoire derivee 
e(p(u)), ce qui permet d'obtenir la protection centre 
les attaques DPA, 

T.a figure 8 montre 1 ■ organ iqramme detaille des 

quatre tours Tl, T2 , T3 et T4 du premier groupe Gl, 
dans la sequence SEQA, qui permet de mettre en evidence 
le role des deuxiemes moyens TC2 utilises dans chaque 
tour. D'apres leur definition : TC2 = E®e(p(u)), S©u, 
35 en appliquant en entree la donnee modifiee 
aleatoirement b®e(p(u) grace a 1' operation 



17 



^1 




suppl^mentaire CP, on obtient en sortie la donnee 
modifiee aleatoirement a®u. En conduisant ce 
raisonnement depuis le tour Tl jusqu'a la fin du tour 
T4 , et en remarquant que p(u)®p(u)=0, on obtient en 

5 sortie du tour T4 , les donnees R4 non modifiees, 

Avec un tel procede de contre-mesure , on doit 
prevoir en debut de DES le tirage de la valeur 
aleatoire u et le calcul des moyens utilises dans la 
sequence d' execution SEQA. Ces moyens calcules a chaque 

10 execution du DES, sont memorises, le temps de 
1' execution, en memoire de travail, les premiers moyens 
TCq qui servent au calcul etant eux memorises en 
memoire programme • 

Ce procede de contre-mesure selon 1 * etat de la 

15 technique qui consiste done de maniere generale & 
appliquer une valeur aleatoire u au moins sur la sortie 
des moyens de calcul utilises dans chaque tour de 
1 * algorithme , laisse certaines donnees en clair. Sur 
les figures 7 et 8 on voit que les donnees d' entree, 

20 LO, RO, et a leur suite les donnees h, 1 et b du 
premier tour sont utilisees en clair - 

De meme les donnees R3 , L4 , R4 , R7 , L8 , R8 , Rll, 
L12, R12, R15, L16 et R16 sont utilisees en clair, 

D'un maniere generale, quelque soit le mode 

25 d ' application du procede de contre-mesure de 1 • etat de 
la technique qui vient d'etre deer it, au moins les 
donnees d' entree LO et RO et de sortie L16 et R16 sont 
utilisees en clair dans 1 ' algorithme . D ' autres donnees 
intermediaires peuvent I'etre, comme dans le cas 

procodemment d^cr it , qui dependent plus 

particulierement du mode d • application considere du 
procede de contre-mesure de 1 ' etat de la technique, 
dont les figures 7 et 8 ne montrent qu * un des exemples 
d ' application . 



En pratique, des attaques peuvent done etre encore 
realisees sur 1 ' algor ithme , basees sur ces donnees 
utilisees en clair. 

La presente invention propose done un 
5 perf eetionnement au precede de eontre-mesure preeite, 
qui permet de rendre impredictibles toutes les donnees 
utilisees dans 1 • algor ithme , soit par la premiere 
valeur aleatoire u, soit par une deuxieme valeur 
aleatoire notee v, soit par une combinaison des deux- 
10 Un exemple de mise en oeuvre de ce procede est 

represente sur la figure 9. 

Selon 1» invention, une deuxieme valeur aleatoire 
notee v est utilisee, appliquee aux donnees d ' entree LO 
et RO, au moyen d'une operation OU EXCLUSIF. 
15 Ainsi, les donnees d' entree reellement utilisees 

dans le ealcul de 1 ' algor ithme, sont des donnees 
impredictibles egales a LO©v et RO©v. 

Cette deuxieme valeur aleatoire se propage dans 
chacun des tours de 1 • algor ithme . En sortie du seizieme 
20 tour T16, on obtient done comme donnees de sortie, les 
donnees impredictibles egales a L16©v et R16©v. 

Pour retrouver les donnees de sortie vraies L16 et 
R16 qui vont permettre d'obtenir le message chiffre C, 
on applique sur chacune de ces donnees L16®v et R16©v, 
25 une operation OU EXCLUSIF avec la deuxieme valeur 
aleatoire v. 

L'utilisation des deux valeurs aleatoires u et v en 
combinaison permet d'obtenir un procede de contre- 
mesure perf ectionne, rendant inattaquable I'algorithme 

30 QT^-^ me>t en oeuvre > 

Sur la figure 9, on a detaille un exemple de mise 
en oeuvre pratique d ' un procede de contre-mesure selon 
1 ' invention . 

Si on prend le premier tour Tl, on a en entree les 
35 donnees LO®v et RO©v auxquelles on applique 
success ivement les operations EXP PERM, XOR (avec la 



cle Kl) . On se retrouve done en entree de 1' operation 
SBOX avec la donnee b©v. 

Les luoyens de calcul TC^ associes a cette operation 
SBOX consistent comme dans le procede de contre-mesure 
de I'etat de la technique en une table de constantes 
deduite de la table de constantes d'origine TCq de 
1 •algorithme DES. 

En notant cette table de constantes d'origine TCq = 
(E, S) comme vu en relation avec la figure 6, on 
calcule les nouveaux moyens de calcul TCm de la xnaniere 
suivante : 

TCm = (E©e(v) , S©u) . 

De cette maniere, on tient compte de la deuxieme 
valeur aleatoire v appliquee aux donnees en entree de 
chaque tour, et on beneficie toujours de la premiere 
valeur aleatoire, u selon le procede de I'etat de la 
technique, en sortie de 1' operation SBOX. 

Ainsi, en sortie de 1 ' operation SBOX utilisant les 
moyens de calcul TC^, on obtient la donnee a®p(u), sur 
laquelle on applique 1 • operation P PERM, donnant la 

donnee c©p(u) . 

L' operation XOR suivante avec la donnee d' entree 
LO©v fournit en sortie la donnee g©p(u)©v. 

On rappelle que dans I'etat de la technique decrit 
(FIG. 8), on obtenait a ce stade la donnee g©p(u) 
utilisee en entree du deuxieme tour T2 • 

Avec le procede selon 1 ' invention, 1 * autre entree 
du deuxieme tour est la donnee Ll©v = RO©v, comme 
indique sur la figure 9. 

T.R deuxieme valeur aleatoire v se propage done dans 

tous les tours de 1 ' algorithme . 

Si on ne fait pas disparaitre la valeur aleatoire u 
de la donnee de sortie du premier tour (Rl© ( v) ©p (u) ) , 
il faut prevoir 1 ' utilisation d ' autres moyens de calcul 
TCm' dans le deuxieme tour T2 , definis par TCm' 
E©e(v)©e(p(u) ) , S®u. 
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Cette mise en oeuvre de 1 ' invention n • est pas tres 
interessante, car elle necessite le calcul de deux 
nouvelles tables de constantes TC^ et TCm ' , la valeur 
aleatoire u etant appliquee dans la table. TC^', non 
seulement sur la sortie, mais aussi sur 1' entree. 

Aussi, selon 1' invention, et comme represente sur 
la figure 9, pour faciliter 1 ' utilisation des deux 
variables aleatoires u et v en reduisant les calculs 
necessaires a sa mise en oeuvre et pour reproduire les 
memes operations dans chaque tour, on prevoit une 
operation OU EXCLUSIF supplementa ire notee CP(p(u)) en 
fin de chaque tour, de maniere a faire disparaitre la 
valeur p(u) en entree de chaque nouveau tour. Ainsi, en 
entree du deuxieme tour Tl, on obtient la donnee Rl©v = 
(g®p(u)®v)®p(u) , soit 

Rl©v = g®v. 

Chaque tour se succede alors en executant la meme 
suite d' operations de calcul, alors en sorte qu ' en 
sortie du seizieme tour, on obtient comme donnees de 
sortie, LIS ©v et R16©v. En appliquant une operation de 
OU EXCLUSIF avec la deuxieme valeur aleatoire v sur 
chacune de ces deux donnees, on obtient les donnees L16 
et R16 qui permettent 1 • elaboration du message chiffre 
C. 

En appliquant le precede de contre-mesure selon 
1' invention qui combine 1 ' utilisation d'une premiere 
valeur aleatoire u dans des moyens de calculs prevus 
dans chaque tour et 1 ' utilisation d'une deuxieme valeur 
aleatoire appliquee en entree, avant 1' execution du 

pr'^m^f^r ^ -honr-^ on T-pnri j mpredjct jbles toutes les donnees 

utilisees dans 1 ' algor ithme . Selon I'endroit ou 1 ' on se 
trouve dans 1 ' algor ithme , la protection par contre- 
mesure selon 1' invention est assuree soit par la 
premiere valeur aleatoire u, soit par la deuxieme 
valeur aleatoire v, soit par une combinaison de ces 
deux valeurs. 



En pratique, et dans I'exemple d • application 
represente sur la figure 9, avant d'executer 
I'algorithme DES proprement dit, il faut executer les 
operations suivantes : 

" tirage des valeurs aleatoires u et v 

- calcul de p(u) pour 1 'operation CP(p(u)) 

- calcul de e(v) 

- calcul de TC^ = E®e(v), S©u. 

La valeur aleatoire v est une donnee comportant le meme 
nombre bits que les donnees LO et RO, soit 32 bits dans 
I'exemple. Dans ce precede, on utilise done une valeur 
aleatoire V qui est une donnee de 32 bits. On peut par 
exemple tirer une valeur aleatoire de 32 bits, ou bien 
tirer une valeur aleatoire de 4 bits et les recopier 8 
fois pour obtenir la valeur aleatoire sur 32 bits 
(comme pour la valeur aleatoire u) . 

D'autres exemples d • application peuvent etre 
envisages, dans lesquels on peut notamment prevoir que 
les tours ne sont pas identiques. Toutes ces variantes 
qui utilisent les deux valeurs aleatoires selon le 
principe general expose sont du domaine de 1' invention. 

Un composant electronique 1 mettant en oeuvre un 
precede de contre-mesure selon 1 ' invention dans un 
algorithme de cryptographie a cle secrete DES, cpmprend 
typiqueinent, comme represente sur la figure 10, un 
microprocesseur mP, une memoire programme 2 et une 
memoire de travail 3. Les differents moyens de calcul 
TCq et TCm sont, en pratique, des tables de constantes 
memorisees respectivement en memoire programme 1 et en 




de ces moyens de calcul, des moyens 4 de generation 
d'une valeur aleatoire sont prevus qui, si on se 
reporte aux organigrammes des figures 7 et 11, 
fourniront les valeurs aleatoires u et v a chaque 
execution du DES. Un tel composant peut tout 
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particulierement etre utilise dans une carte a puce 5, 
pour ameliorer son inviolabilite. 
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REVENDICATIONS 

1. Precede de contre^mesure dans un composant 
electronique mettant en oeuvre un algorithme 
cryptographique a cle secrete (K) , dont la mise en 
oeuvre comprend plusieurs tours de calculs successifs 
(T1,,,.T16) pour fournir a partir de premieres donnees 
d'entree (LO, RO) appliquees au premier tour (Tl) , des 
donnees finales (L16, R16) en sortie du dernier tour 
(T16) permettant 1 ' elaboration d'un message chiffre 
(C) , une premiere valeur aleatoire (u) etant appliquee 
a des moyens de calcul (TCm) prevus dans chaque tour 
pour obtenir en sortie, une donnee impredictible (u©v) , 
caracterise en ce que le precede comprend en outre 
1" execution d'une operation OU EXCLUSIF avant le 
premier tour Tl pour appliquer une deuxieme valeur 
aleatoire (v) aux-dites premieres donnees d'entree (LO, 
RO) . 

2o Precede de contre-mesure selon la revendication 
1, caracterise en ce qu'il comprend en outre 
1* execution d'une operation OU EXCLUSIF avec la 
deuxieme valeur aleatoire (v) sur les donnees de sortie 
du dernier tour (T16) . 

3, Precede de contre-mesure selon I'une quelconque 
des revendications precedentes, caracterise en ce qu'il 



operation supplementaire (CP(p(u))) pour 
disparaitre ladite premiere valeur aleatoire 
sortie de chaque tour. 



f aire 
(u) en 



4. Precede de contre-mesure selon I'une quelconque 
des revendications precedentes, caracterise en ce qu'il 
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comprend le tirage des premiere et deuxieme valeurs 
aleatoires (u, v) et le calcul des moyens de calcul 
(TCm) utilises dans chaque tour pour chaque nouvelle 
execution de 1 • algori thine . 

5. Procede selon la revendication 4, caracterise en 
ce que les dits moyens de calculs (TC^) sont calcules a 
partir de premiers moyens de calculs (TCq) definissant 
pour des donnees d ' entree (E) , des donnees de sortie 
(S) correspondantes, en appliquant la deuxieme valeur 
aleatoire (v) aux dites donnees d'entree (E©e(v)) et en 
appliquant la premiere valeur aleatoire (u) au moins 
aux dites donnees de sortie (s©u) des premiers moyens 
de calculi 

6. Procede de contre-mesure selon la revendication 
5, caracterise en ce que les moyens de calculs (TCq, 
TCm) sont des tables de constantes. 

7. Composant electronique de securite mettant en 
oeuvre le procede de contre-mesure selon 1 • une 
quelconque des revendications 5 ou 6, caracterise en ce 
que les premiers moyens de calcul (TCq) sont fixes en 
memoire programme (1) du dit composant, les moyens de 
calcul (TCm) utilises dans chaque tour etant calcules a 
chaque nouvelle execution de I'algorithme et memorises 
en memoire de travail (3) et en ce qu'il comprend des 
moyens (4) de generation des premieres et deuxiemes 
valQurc aleatoires — {jx^ — xg — pour cal cuter les dits moyens 
de calcul (TCm) 

8. Carte a puce comprenant un composant 
electronique de securite selon la revendication 7. 
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figure 2). II faut retourner a 1 ' etape c- et faire une 
nouvelle hypothese sur la sous-cle. 

Si !• hypothese s'avere juste, on peut passer a 
1' Evaluation d'autres sous-cles, jusqu'a avoir 
5 reconstitue la cle au maximum. Par exemple, avec un 
algorithme DES , on utilise une cle de 64 bits, dont 
seulement 56 bits utiles. Avec une attaque DPA, on est 
capable de reconstituer au moins 48 bits des 56 bits 
utiles. 

10 La presente invention a pour but de mettre en 

oeuvre dans un composant electronique, un procede de 
contre-mesure qui entraine un signal DPA(t) nul, meme 
dans le cas ou 1' hypothese de sous-cle est juste. 

De cette fa^on, rien ne permet de distinguer le cas 

15 de 1' hypothese de sous-cle juste des cas d' hypotheses 
de sous-cle fausses. Par cette contre-mesure, le 
composant electronique est pare centre les attaques 
DPA. 

On sait par la demande frangaise FR 98 13605 
20 deposee le 29 octobre 1998 par la societe GEMPLUS qu'il 
ne suffit pas de faire en sorte que le signal DPA(t) 
soit nul relativement a un bit cible donne. 

En effet, si on considere la valeur prise par 
plusieurs bits cibles d'une meme donnee manipulee par 
25 les instructions critiques, on va devoir trier les 
courbes non plus en deux paquets, mais en plusieurs 
paquets. On n'a plus une fonction de selection binaire. 
On peut montrer qu ' en regroupant ensuite ces paquets 
d'une maniere ou d'une autre, on peut obtenir un signal 

DPA(t) — non nul — dans — — Gits — d ' une — hyp o these — de — snns-r . 1 p . 

juste, alors qu'il aurait ete nul' si *l.'on avait trie 
selon une fonction de selection binaire sur un seul bit 
cible. 

Prenons par exemple deux bits cibles d'une meme 
35 donnee. Ces deux bits cibles peuvent prendre les 2^ 
valeurs suivantes : "00", "01", "10" et "11". 




En appliquant la fonction de selection aux N=1000 
courbes de consommat ion en courant mesurees, on obtient 
quatre paquets de courbes. Si le tri est juste, un 
premier paquet de 2 50 courbes environ correspond a la 
5 valeur "00", un deuxieme paquet de 250 courbes environ 
correspond a la valeur "01", un troisieme paquet de 
250 courbes environ correspond a la valeur "10" et un 
quatrieme paquet de 2 50 courbes environ correspond a la 
valeur "11". 

10 Si on regroupe les premier et quatrieme paquets 

dans un premier groupe et les deuxieme et troisieme 
paquets dans un deuxieme groupe, on obtient deux 
groupes qui ne sont pas equivalents. 

Dans le premier groupe, les deux bits ont autant de 
15 chances de valoir "00" que de valoir "11". La valeur 
moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'ecrire : 
Ml (tci) =[consommation ("00") + consommation ("ll")]/2 

Dans le deuxieme groupe, les deux bits ont autant 
20 de chances de valoir "01" que de valoir "10". La valeur 
moyenne aux instants critiques de toutes les courbes de 
consommation de ce groupe peut s'ecrire : 
M2 (t^i) =[consommation ("01") + consommation ("10")]/2 

Si on fait la difference entre ces deux moyennes, 
25 on obtient un signal DPA(t) non nul. En d'autres 
termes, les deux groupes dont on compare les 
consommations moyennes n • ont pas un contenu equivalent. 

Dans la demande fran^aise precitee, on a cherche a 
empecher I'obtention d'un quelconque signal 

-50 sigiiificdtif au .sens de 1 ' attaque DBA. — Quel quo ooit l a 

nombre de bits cibles pris, que^'ll^ . que soit la 
combinaison de paquets effectuee pour faire la 
comparaison des consommations moyennes, le signal 
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DPA(t) sera tou jours nul. Pour cela il faut obtenir des 
paquets equivalents, quel que soit le nombre de bits 
cibles consideres . 

La demande frangaise precitee propose coimtie 
5 solution a ces differents problemes techniques, 
1' utilisation d'une valeur aleatoire dans une operation 
de OU EXCLUSIF avec au moins des donnees de sortie de 
moyens de calcul utilises dans 1 ' algorithme , 

Avec 1 'utilisation d'une telle valeur aleatoire, 
10 les donnees manipulees par les instructions critiques 
deviennent impredictibles tout en ayant un resultat 
juste en sortie de 1 ' algorithme . 

Dans 1' invention, on s ' est cependant rendu compte 
que des attaques pourraient encore etre realisees avec 
15 succes a des endroits bien determines dans 1' execution 
de 1 'algorithme, notamment en entree et en sortie de 
1 ' algorithme. 

La present e invention a pour objet un precede de 
contre-mesure dans lequel ces attaques sont egalement 

20 rendues impossibles. Selon 1' invention, on utilise une 
deuxieme valeur aleatoire, appliquee sur les parametres 
d' entree de I'algorithme de cryptographie, dans une 
operation de ou EXCLUSIF. Cette deuxieme valeur 
aleatoire se propage dans tout I'algorithme, en sorte 

25 que les donnees qui n ' etaient pas protegees par la 
premiere valeur aleatoire le sont par la deuxieme . 

. Ainsi, selon 1' invention, selon I'endroit od I'on 
se trouve dans I'algorithme, les donnees sont protegees 
soit par la premiere valeur-aleatoire, soit par la 

3U deuxieme, soit pair une combinaisuji dkd L:t=ib Jeux valeui - s 
aleatoires . * 

Telle que caracterisee , 1 ' invention concerne done 
un precede de contre-mesure dans un composant 
electronique mettant en oeuvre un algorithme 

35 cryptographique a cle secrete. 
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dont la mise en oeuvre comprend plusieurs tours de 
calculs successifs pour fournir a partir de premieres 
donnees d ' entree appliquees au premier tour, des 
donnees finales en sortie du dernier tour permettant 

5 1 'elaboration d'un message chiffre, chaque tour de 
calcul utilisant des moyens de calcul pour fournir une 
donnee de sortie a partir d'une donnee d' entree, 
lesdits moyens de calcul coinprenant 1' application d'une 
premiere valeur aleatoire (u) pour obtenir en sortie 

10 une donnee impredictible, caracterise en ce que le 
procede comprend 1 ' utilisation de moyens d • application 
d'une deuxieme valeur aleatoire aux-dites premieres 
donnees d' entree, selon une operation ou EXCLUSIF. 

D*autres caracteristiques et avantages de 

15 !• invention sont detailles dans la description suivante 
faite a titre indicatif et nullement limitatif et en 
reference aux dessins annexes, dans lesquels : 

- les figures 1 et 2 deja decrites representent le 
signal DPA(t) que I'on peut obtenir en fonction d'une 

20 hypothese sur une sous-cle de la cle secrete K, selon 
une attaque DPA; 

- les figures 3 et 4 sont des organigrammes 
detailles des premiers et derniers tours de 
I'algorithme DES, selon I'etat de la technique; 

25 - la figure 5 est un schema-bloc de 1« operation 

SBOX utilisee dans I'algorithme DES tel que presente 
sur les figures 3 et 4 ; 

- la figure 6 montre un exemple de table de 
constantes elementaire a une entree et une sortie 

30 util^^^^ 1 'operation -SBOX representee sur la_ 

figure 5; - . 

- les figures 7 et 8 representent respectivement un 
organigramme d' execution du DES et un organigramme 
detaille des premiers tours, correspondant a un exemple 

35 d' application du procede de centre mesure selon I'etat 
de la technique ; 




- la figure 9 represents un organ igramme 
d» execution du DES selon !• invention; et 

- la figure 10 represente un schema-bloc simplifie 
d'une carte a puce comportant un composant electronique 

5 dans lequel le precede de contre-mesure selon 
!• invention est mis en oeuvre. 

Pour la bonne comprehension de 1" invention, on va 
d'abord deer ire I'algorithme cryptographique a cle 
secrete DES normal, sans precede de contre-mesure. Get 

10 algorithme DES comporte 16 tours de calcul, notes Tl a 
T16, comme represente sur les figures 3 et 4 . 

Le DES debute par une permutation initiale IP sur 
le message d' entree M (figure 3). Le message d* entree M 
est un mot f de 64 bits, Apres permutation, on obtient 

15 un mot e de 64 bits, que 1 ' on coupe en deux pour former 
les parametres d ■ entree LO et RO du premier tour (Tl) • 
LO est un mot d de 32 bits contenant les 32 bits de 
poids forts du mot e. RO est un mot h de 32 bits 
contenant les 32 bits de poids faibles du mot e, 

20 La cle secrete K, qui est un mot q de 64 bits subit 

elle-meme une permutation et une compression pour 
fournir un mot r de 56 bits* 

Le premier tour comprend une operation EXP PERM sur 
le parametre RO, consistant en une expansion et une 

25 permutation, pour fournir en sortie un mot 1 de 48 
bits, 

Ce mot 1 est combine * a un parametre Kl, dans une 
operation de type OU EXCLUSIF notee XOR, pour fournir 
un mot b de 48 bits. Le parametre Kl qui est un mot m 

^ de — 4^ — bits — e&fe — obtonu — du — mo^ — £^ — pa^: — un — decalage *i '^n*^ 

position (operation notee SHIFT sur' les* figures 3 et 4) 
suivi d'une permutation et d ' une compression (operation 
notee COMP PERM) . 

Le mot b est applique a une operation notee SBOX, 
35 en sortie de laquelle on obtient un mot a de 32 bits. 
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Cette operation particuliere sera expliquee plus en 
detail en relation avec les figures 5 et 6 . 

Le mot a subit une permutation P PERM, donnant en 
sortie le mot c de 3 2 bits, 
5 Ce mot c est combine au parametre d' entree LO du 

premier tour Tl, dans une operation logique de type OU 
EXCLUSIF, notee XOR, qui fournit en sortie le mot g de 
32 bits, 

Le mot h (=R0) du premier tour fournit le parametre 
10 d' entree LI du tour suivant (T2) et le mot g du premier 
tour fournit le parametre d' entree Rl du tour suivant. 
Le mot p du premier tour fournit 1 ' entree r du tour 
suivant. 

Les autres tours T2 a T16 se deroulent de fa9on 
15 similaire, excepte en ce qui concerne 1* operation de 
decalage SHIFT qui se fait sur une ou deux positions 
selon les tours consideres. 

Chaque tour Ti regoit ainsi en entree les 
parametres Li-1, Ri-1 et r et fournit en sortie les 
20 parametres Li et Ri et r pour le tour suivant Ti+1 . 

En fin d'algorithme DES (figure 4), le message 
chiffre est calcule a partir des parametres L16 et R16 
fournis par le dernier tour T16. 

Ce calcul du message chiffre C comprend en pratique 
25 les operations suivantes : 

- formation d'un mot e' de 64 bits en inversant la 
position des mots L16 et R16, puis en les concatenant; 

- application de la permutation IP"^ inverse de 
celle de debut de DES, pour obtenir le mot f ' de 64 

-36 bits formant lo moccago chiffr e C - 

L' operation SBOX est detaillee ' sur 'les figures 5 et 
6. Elle comprend une table de constantes TCq pour 
fournir une donnee de sortie a en fonction d'une donnee 
d ' entree b. 

35 En pratique, cette table de constantes TCq se 

presente sous la forme de huit tables de constantes 
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elementaires TCqI a TCqS, chacune recevant en entree 
seuleinent 6 bits du mot pour fournir en sortie 

seulement 4 bits du mot a. 

Ainsi, la table de constante elementaire TCqI 

5 representee sur la figure 6 regoit comme donnee 
d • entree, les bits bl a b6 du mot b et f ournit comme 
donnee de sortie les bits al a a4 du mot a» 

En pratique ces huit tables de constantes 
elementaires TCqI a TCqS sont memorisees en memoire 

10 programme du composant electronique 

Dans 1' operation SBOX du premier tour Tl, un bit 
particulier de la donnee a de sortie de la table de 
constante TCq depend de seulement 6 bits de la donnee b 
appliquee en entree, c ' est a dire de seulement 6 bits 

15 de la cle secrete K et du message d* entree (M) . 

Dans 1' operation SBOX du dernier tour T16, un bit 
particulier de la donnee a de sortie de la table de 
constante TCq peut etre recalcule a partir de seulement 
6 bits de la cle secrete K et du message chif fre (C) . 

20 Or si on reprend le principe de 1 ' attaque DPA, si 

on choisit un ou des bits de la donnee de sortie a 
comme bits cibles, il suffit de faire une hypothese sur 
6 bits de la cle K, pour predire la valeur du ou des 
bits cibles pour un message d' entree (M) ou de sortie 

25 (C) donne. En d ' autres termes, pour le DES, il suffit 
de faire une hypothese sur une sous-cle de 6 bits. 

Dans une attaque DPA sur un tel algorithme pour un 
ensemble de bits cibles donne issu d'une table de 
constantes elementaire donnee, on a done a discriminer 

"30 une hypoUiSse de. suus-ul6 j uste parmi 04 possibles. 

Ainsi, a partir des bits de sortie' des huit tables 
de constantes elementaires TCqI a TCq8, on peut 
decouvrir jusqu'a 8x6=48 bits de la cle secrete, en 
faisant des attaques DPA sur des bits cibles 

35 correspondants . 
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Dans le DES , on trouve done des instructions 
critiques au sens des attaques DPA au debut de 
I'algorithme et a la fin. Ces instructions sont 
detainees dans la demande fran9aise FR 98 13605 a 
laquelle on pourra se reporter utilement, 

Et il ressort que toutes les donnees manipulees par 
des instructions critiques sont une donnee de sortie ou 
des donnees derivees d'une donnee de sortie d'une 
operation SBOX de debut et de fin de DES. 

Le precede de contre-mesure decrit dans la demande 
frangaise precitee applique a cet algorithme DES 
consiste a rendre impredictible chacune des donnees 
manipulees par les instructions critiques. Ainsi, quel 
que soit le ou les bits cibles utilises, le signal 
DPA(t) sera tou jours nul. Ce precede de contre-mesure 
est applique aux instructions critiques de debut de DES 
et aux instructions critiques de fin de DES. 

En prenant les operations SBOX comme premiers 
moyens de calcul pour fournir une donnee de sortie S=a 
a partir d'une donnee d ■ entree E=b, lei* precede de 
contre-mesure de la demande frantjaise precitee applique 
a 1' algorithme DES consiste a utiliser d'autres moyens 
de calcul a la place des premiers , pour rendre 
impredictible la donnee de sortie, en sorte que cette 
donnee de sortie et/ou des donnees derivees manipulees 
par les instructions critiques soient toutes 
impredictibles . 

Ces autres moyens peuvent comprendre differents 
moyens. lis sont calcules a partir des premiers moyens 

en appliquant un OU exclusi f avec untj — valeui — aleatoire 

u (ou une valeur aleatoire derivee)' sur'l'une et/ou sur 
1' autre des donnees d ' entree et de sortie des premiers 
moyens . 

L' utilisation de cette valeur aleatoire u est telle 
35 que le resultat en sortie de 1 ' algorithme, c'est a 
dire, le message chiffre C reste juste. 
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Les figures 7 et 8 representent un exemple 
d» application de ce precede de contre-mesure , qui 
correspond a la figure 10 de la demande fran^aise 
precitee. 

5 Dans une execution classique de 1 ' algorithme DES, 

on a vu que chaque tour comprend 1 • utilisation de 
premiers moyens TCq dans une operation SBOX, 

Dans cet exemple, et comme represents sur la figure 
7, on calcule d'autres moyens en faisant un OU EXCLUSIF 

10 avec une valeur aleatoire u sur les donnees de sortie 
des premiers moyens TCq et en faisant un OU EXCLUSIF 
avec une valeur derivee e(p(u)) sur les donnees 
d' entree des premiers moyens TCq. Puis on applique une 
sequence SEQA d' execution identique sur chaque groupe, 

15 qui consiste a utiliser ces autres moyens calcules. 

Dans ce precede, on utilise done une valeur 
aleatoire u qui est une donnee de 32 bits. On peut par 
exemple tirer une valeur aleatoire de 32 bits, ou bien 
tirer une valeur aleatoire de 4 bits et les recopier 8 

20 fois pour obtenir la valeur aleatoire sur 32 bits. 

On calcule alors la variable derivee egale a 
e(p(u)), oil p(u) correspond au resultat de 1' operation 
P PERM appliquee sur la valeur u et ou e(p(u)} est le 
resultat de 1» operation EXP PERM appliquee a la valeur 

25 p(u) . 

On peut alors calculer les autres moyens utilises 
par ce precede de contre-mesure. 

Dans 1' exemple represents en reference a la figure 
7, ces autres moyens comprennent des deuxiemes moyens 

-^6 — et une — operation — ou EXCLUSIF — supp l ementa i re — notee 

CP. ' *. 

Les deuxiemes moyens TC2 sont utilises dans chacun 

des tours. 

lis sont calcules en appliquant un OU EXCLUSIF avec 
35 la variable aleatoire derivee e(p(u)) sur la donnee 
d' entree E et en appliquant un OU EXCLUSIF avec la 




^FEUILLE RECTIFIEE 

16 



valeur aleatoire u sur la donnee de sortie S des 
premiers moyens TCq, ce qui peut s'ecrire : 
TC2=(E©e(p(u) ) , seu) . 

L' operation OU EXCLUSIF supplementaire CP avec la 
5 variable aleatoire derivee e(p(u)), permet d'obtenir en 
entree des deuxiemes moyens TC2 la donnee b©e(p(u)). 
Cette operation est notee CP(e(p(u))) sur les figures 7 
et 8. 

Cette operation OU EXCLUSIF supplementaire CP avec 
10 la variable e(p(u)) peut etre placee en divers endroits 
des premiers et derniers tours, soit entre 1' operation 
EXP PERM et 1' operation XOR ou entre 1' operation XOR et 
1' operation SBOX. On peut la remplacer par une 
operation OU EXCLUSIF supplementaire CP avec la 
15 variable aleatoire derivee p(u), en pla9ant cette 
operation supplementaire CP(p{u)) avant I'operation EXP 
PERM. On obtient en sortie l®e(p(u)), et done on aura 
ensuite b©e(p(u)). 

Dans tous ces cas de figures, on obtient la donnee 
20 b©e(p{u)) en entree de I'operation SBOX. 

Le programme de calcul consiste alors au debut de 
1» execution de 1 • algorithme, a tirer une valeur 
aleatoire u, dans I'exemple sur 4 bits, a calculer la 
variable aleatoire derivee e(p(u)), puis a calculer les 
25 differents moyens utilises dans la sequence d' execution 
SEQA, c'est a dire calculer les deuxiemes moyens TC2 • 

On obtient, a la sortie de chaque groupe, le 
resultat juste pour les parametres de sortie. Ainsi, 
les parametres de sortie L4 et R4 du premier groupe Gl, 

-36 LO et RO du dQuxacmQ groupo C2, L13 — et R12 d u tro i s i eme 

groupe 03, L16 et R16 du quatri'eme 'groupe G4 sont 
justes quelle que soit la variable aleatoire tiree. 

Quand on a effectue tous les tours, on obtient les 
parametres justes L16 et R16 qui vont permettre de 
35 calculer le message chiffre C juste. 
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Par centre, a I'interieur des groupes, certains 
resultats interinediaires n ' ont pas les memes valeurs 
selon la sequence utilisee, inais des valeurs 
correspondant a 1' operation OU EXCLUSIF avec la valeur 
5 aleatoire u ou avec la valeur aleatoire derivee 
e(P(u))/ ce qui permet d'obtenir la protection contre 
les attaques DPA. 

La figure 8 montre 1 ' organigramme detail le des 
quatre tours Tl, T2 , T3 et T4 du premier groupe Gl, 

10 dans la sequence SEQA, qui permet de inettre en evidence 
le role des deuxiemes moyens TC2 utilises dans chaque 
tour. D'apres leur definition : TC2 = E©e(p(u)), S®u, 
en appliquant en entree la donnee modifiee 
aleatoirement b©e(p(u) grace a 1' operation 

15 suppleinentaire CP, on obtient en sortie la donnee 
modifiee aleatoirement a©u. En conduisant ce 
raisonnement depuis le tour Tl jusqu'a la fin du tour 
T4 , et en remarquant que p(u)©p(u)=0, on obtient en 
sortie du tour T4 , les donnees L4 , R4 non modifiees. 

20 Avec un tel procede de contre-mesure , on doit 

prevoir en debut de DES le tirage de la valeur 
aleatoire u et le calcul des moyens utilises dans la 
sequence d' execution SEQA. Ces moyens calcules a chaque 
execution du DES, sont memorises, le temps de 

25 1» execution, en memoire de travail, les premiers moyens 
TCq qui servent au calcul etant eux memorises en 
memoire programme. 

Ce procede de contre-mesure selon 1 * etat de la 
technique qui consiste done de maniere generale a 

appliquer uno — vaJ.our aleato i re u an Tnr>inj=; gn-r l a sortie 

des moyens de calcul utilises d'ans *chaque tour de 
1 ' algorithme , laisse certaines donnees en clair. Sur 
les figures 7 et 8 on voit que les donnees d' entree, 
LO, RO, et a leur suite les donnees h, 1 et b du 

35 premier tour sont utilisees en clair. 




_ FEUILLE REQTIFIEE 

18 



De meme les donnees R3 , L4 , R4 , R7 , L8, R8 , Rll, 
L12, R12, R15, L16 et R16 sont utilisees en clair. 

D'un maniere generale, quelque soit le mode 
d'application du precede de contre-mesure de I'etat de 
5 la technique qui vient d'etre deer it, au moins les 
donnees d • entree LO et RO et de sortie L16 et R16 sont 
utilisees en clair dans 1 ' algorithme. D'autres donnees 
intermediaires peuvent I'etre, comme dans le cas 
pr§cedexninent deer it, qui dependent plus 

10 particulierement du mode d » application considere du 
precede de contre-mesure de 1 ' etat de la technique, 
dont les figures 7 et 8 ne montrent qu'un des exemples 
d " application . 

En pratique, des attaques peuvent done etre encore 
15 rSalisees sur 1 ' algorithme, basees sur ces donnees 
utilisees en clair. 

La presente invention propose done un 
perfect ionnement au precede de contre-mesure preeite^ 
qui permet de rendre impredictibles toutes les donnees 
20 utilisees dans 1 ' algorithme , soit par la premiere 
valeur aleatoire u, soit par une deuxieme valeur 
aleatoire notee v, soit par une combinaison des deux. 

Un exemple de mise en oeuvre de ce precede est 
represente sur la figure 9. 
25 Selon 1' invention, une deuxieme valeur aleatoire 

notee v est utilisee, appliquee aux donnees d' entree LO 
et RO, au moyen d'une operation OU EXCLUSIF. 

Ainsi, les donnees d' entree reellement utilisees 
dans le ealcul de 1 • algorithme, sont des donnees 

-30 iiupiedluLlbles 6ydles a LOCDv ^et ROCDv. 

Cette deuxieme valeur aleatoire se. prepage dans 
chacun des tours de 1 ' algorithme . En sortie du seizieme 
tour T16, on obtient done comme donnees de sortie, les 
donnees impredictibles egales a L16©v et R16©v. 
35 Pour retrouver les donnees de sortie vraies L16 et 

R16 qui vont permettre d'ebtenir le message chiffre C, 
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on applique sur chacune de ces donnees L16®v et R16®v, 
une operation OU EXCLUSIF avec la deuxieme valeur 
aleatoire 

L'utilisation des deux valeurs aleatoires u et v en 
5 combinaison permet d'obtenir un procede de contre- 
mesure perf ectionne , rendant inattaquable 1 ' algorithme 
DES qui le met en oeuvre, 

Sur la figure 9, on a detaille un exemple de mise 
en oeuvre pratique d'un procede de contre-mesure selon 
10 1* invention. 

Si on prend le premier tour Tl, on a en entree les 
donnees LO®v et RO©v auxquelles on applique 
success ivement les operations EXP PERM, XOR (avec la 
cle Kl) . On se retrouve done en entree de 1' operation 
15 SBOX avec la donnee b©v. 

Les mpyens de calcul TCj^ associes a cette operation 
SBOX consistent comme dans le procede de contre-mesure 
de I'etat de la technique en une table de constantes 
deduite de la table de constantes d'origine TCq de 
20 I'algorithme DES. 

En notant cette table de constantes d'origine TCq = 
(E, S) comme vu en relation avec la figure 6, on 
calcule les nouveaux moyens de calcul TC^ de la maniere 
suivante : 
25 TCj^^ = (E®e(v) , S®u) . 

De cette maniere, on tient compte de la deuxieme 
valeur aleatoire v appliquee aux donnees en entree de 
chaque tour, et on beneficie tou jours de la premiere 
valeur aleatoire, u selon le procede de 1 ' etat de la 
■^0 technique, — en sortie de 1 'operation SBOX , 

Ainsi, en sortie de 1 ' operatio'n ^SBOX utilisant les 
moyens de calcul TCj^^, on obtient la donnee a®p(u), sur 
laquelle on applique 1* operation P PERM, donnant la 
donnee c©p(u) . 

35 L* operation XOR suivante avec la donnee d' entree 

LO©v fournit en sortie la donnee g©p(u)©v. 
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On rappelle que dans 1 • etat de la technique decrit 
(FIG. 8) , on obtenait a ce stade la donnee g®p(u) 
utilisee en entree du deuxieme tour T2 . 

Avec le procede selon 1' invention, 1' autre entree 
5 du deuxieme tour est la donnee Ll©v = RO®v, comme 
indique sur la figure 9. 

La deuxieme valeur aleatoire v se propage done dans 
tous les tours de 1 * algorithme . 

Si on ne fait pas disparaitre la valeur aleatoire u 
10 de la donnee de sortie du premier tour (Rl© ( v) ©p (u) ) , 
il faut prevoir 1 • utilisation d'autres moyens de calcul 
TCm ' dans le deuxieme tour T2 , definis par TCk' = 
E®e{v)©e(p(u) ) , S@u . 

Cette raise en oeuvre de 1 • invention n'est pas tres 
15 interessante, car elle necessite le calcul de deux 
nouvelles tables de constantes TCm et TC^* , la valeur 
aleatoire u etant appliquee dans la table TCj^* , non 
seulement sur la sortie, mais aussi sur 1' entree. 

Aussi, selon 1' invention, et comme represents sur 
20 la figure 9, pour faciliter 1 • utilisation des deux 
variables aleatoires u et v en reduisant les calculs 
necessaires a sa mise en oeuvre et pour reproduire les 
memes operations dans chaque tour, on prevoit une 
operation OU EXCLUSIF supplementaire notee CP(p(u)) en 
25 fin de chaque tour, de maniere a faire disparaitre la 
valeur p(u) en entree de chaque nouveau tour. Ainsi, en 
entree du deuxieme tour Tl, on obtient la donnee Rl©v = 
(g©p(u)©v)©p(u) , soit 

Rl©v = g©v. 

_3D rHaqn^a 1-r>n>-. oo crnr-npiH^ 1 nrg eJQ P.XfiCUtant la — ITieme 

suite d' operations de calcul, en sbrte'qu'en sortie du 
seizieme tour, on obtient comme donnees de sortie, LIS 
©V et R16©v. En appliquant une operation de OU EXCLUSIF 
avec la deuxieme valeur aleatoire v sur chacune de ces 
35 deux donnees, on obtient les donnees L16 et R16 qui 
permettent 1 ' elaboration du message chiffre C. 
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En appliquant le precede de contre-mesure selon 
1' invention qui combine 1 ' utilisation d ' una premiere 
valeur aleatoire u dans des moyens de calculs prevus 
dans chaque tour et 1 ' utilisation d'une deuxieme valeur 
5 aleatoire appliquee en entree, avant 1' execution du 
premier tour, on rend impredictibles toutes les donnees 
utilisees dans 1 ' algorithme. Selon I'endroit o£i I'on se 
trouve dans 1 ' algorithme, la protection par contre- 
mesure selon 1' invention est assuree soit par la 
10 premiere valeur aleatoire u, soit par la deuxieme 
valeur aleatoire v, soit par une combinaison de ces 
deux valeurs. 

En pratique, et dans 1 ' exemple d ' application 
represente sur la figure 9, avant d'executer 
15 1 • algorithme DES proprement dit , il f aut executer les 
operations suivantes : 

- tirage des valeurs aleatoires u et v 

- calcul de p (u) pour 1 ' operation CP (p (u) ) 

- calcul de e ( v) 

20 - calcul de TCh = E©e(v), S©u. 

La valeur aleatoire v est une donnee comportant le meme 
nombre bits que les donnees LO et RO , soit 32 bits dans 
1* exemple, Dans ce procede, on utilise done une valeur 
aleatoire v qui est une donnee de 3 2 bits . On peut par 

25 exemple tirer une valeur aleatoire de 32 bits, ou bien 
tirer une valeur aleatoire de 4 bits et les recopier 8 
fois pour obtenir la valeur aleatoire sur 32 bits 
(comme pour la valeur aleatoire u) ♦ 

D'autres examples d ' application peuvent etre 

^ onvicago G , — dans — if^ctgnf^ig on ^p^n-h notamment orevoir que 

les tours ne sont pas identiques, Toutes ces variantes 
qui utilisent les deux valeurs aleatoires selon le 
principe general expose sont du domaine de 1' invention. 

Un composant electronique 1 mettant en oeuvre un 

35 procede de contre-mesure selon 1 ' invention dans un 
algorithme de cryptographie a cle secrete DES, comprend 
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typiquement , comTne represente sur la figure 10, un 
microprocesseur mP, une memoire programme 2 et une 
memoire de travail 3. Les differents moyens de calcul 
TCq et TCm sont, en pratique, des tables de constantes 
memorisees respectivement en memoire programme 1 et en 
memoire de travail 3. Pour pouvoir gerer 1 • utilisation, 
de ces moyens de calcul, des moyens 4 de generation 
d'une valeur aleatoire sont prevus qui, si on se 
reporte aux organigrammes des figures 7 et 11, 
fourniront les valeurs aleatoires u et v a chaque 
execution du DES. Un tel composant peut tout 
particulierement etre utilise dans une carte a puce 5, 
pour ameliorer son inviolabilite . 




REVENDICATIONS 

1. Precede de contre-inesure dans un composant 
electron ique mettant en oeuvre un algorithme 
cryptographique a cle secrete (K) , dont la mise en 
oeuvre comprend plusieurs tours de calculs successifs 

5 (T1,...T16) pour fournir a partir de premieres donnees 
d'entree (LO, RO) appliquees au premier tour (Tl) , des 
donnees finales (L16, R16) en sortie du dernier tour 
(T16) permettant 1 • elaboration d'un message chiffre 
(C) , chaque tour de calcul utilisant des moyens de 

10 calcul (TC) pour fournir une donnee de sortie (S) a 
partir d'une donnee d'entree (E) , lesdits moyens de 
calcul comprenant 1' application d'une premiere valeur 
algatoire (u) pour obtenir en sortie une donnee 
impredictible (Sffiu) , caracterise en ce que le precede 

15 comprend 1 'utilisation de moyens d • application d'une 
. deuxieme valeur aleatoire (v) aux-dites premieres 
donnees d' entree (LO, RO) , selon une operation ou 
EXCLUSIF- 

2. Precede de contre-mesure selon la revendication 
20 1, caracterise en ce qu'il comprend en outre 

1 'utilisation de moyens d ' application de la deuxieme 
valeur aleatoire (v) sur les donnees finales fournies 
par le dernier tour (T16) , selon une operation ou 
EXCLUSIF. 



25 3. Precede de contre mesure se'lon 1 'une quelconque 

des revendications precedentes, caracterise en ce qu'il 
comprend a la fin de chaque tour, 1' execution d'une 
operation supplementaire (CP(p(u))) pour faire 
disparaxtre ladite premiere valeur aleatoire (u) en 

30 sortie de chaque tour. 
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4, Precede de contre-mesure selon I'une quelconque 
des revendications precedentes, caracterise en ce qu'il 
comprend le tirage des premiere et deuxieme valeurs 
aleatoires (u, v) et le calcul des moyens de calcul 
5 (TCm) utilises dans chaque tour pour chaque nouvelle 

execution de 1 ' algorithme . 



5. Precede selon la revendication 4, caracterise en 
ce que les dits moyens de calculs (TC^) sont calcules a 
partir de premiers moyens de calculs (TCq) definissant 

10 pour des donnees d ' entree (E) , des donnees de sortie 
(S) correspondantes , en appliquant la deuxieme valeur 
aleatoire (v) aux dites donnees d ' entree (E©e(v)) et en 
appliquant la premiere valeur aleatoire (u) au moins 
aux dites donnees de sortie (s®u) des premiers moyens 

15 de calcul. 



6. Precede de contre-mesure selon la revendication 
5, caracterise en ce que les moyens de calculs (TCq, 
TCm) sont des tables de constantes . 



7. Composant electronique de securite mettant en 
oeuvre le precede de contre-mesure selon I'une 
quelconque des revendications 5 ou 6 , caracterise en ce 
que les premiers moyens de calcul (TCq) sont fixes en 
mempire programme (1) du dit composant, les moyens de 
calcul (TCm) utilises dans chaque tour etant calcules a 
chaque nouvelle execution de 1 •algorithme et memorises 
en mcmoirQ do travail — (O-) — e t e h ce qu'il comprend dPS 
moyens (4) de generation des premieres, et deuxiemes 
valeurs aleatoires (u, v) pour calculer les dits moyens 
de calcul (TCm) 

30 8 • Carte a puce comprenant un composant 

electronique de securite selon la revendication 7. 
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